В ALG требуется создать правило на запрет всего HTTP, кроме...

Я это сделал, создав Blacklist с URL * (просто звёздочка), а потом белым списком набил сайтов. Проверить пока нет возможности, будет ли это работать? Если сделано неверно, подскажите, как надо.


И интересует следующее. Есть ли уже готовые черные списки, которые ограничивают доступ к порнухе и тд, чтобы применить их в DFL-800? Вообще как принято с этим всем бороться?



PS. Благодарю камрада danilovav, который отрекомендовал сей удобный и положительный девайс.

_________________
С уважением, Дмитрий

Ставьте переключатель Fail Mode на Deny и добавляйте записи Whitelist. "Звездочку" с блеклистом не надо.

Я лично борюсь с такими сайтами методом вылавливания (по статистике) адресов и занесением их в специальную группу. А дальше - deny правило lan/lannet->wan/deny_nets. Ну и прописанием набора запрещенных слов. На самом деле, все это сугубо уникальное и достаточно быстро набирается по текущей ситуации.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

800-ый умеет блокировать сайты по ключевым словам? Если да, то где это делается?

_________________
С уважением, Дмитрий

К сожалению, только по URL'ам...

Если хотите более гибкий анализ, прикручивайте прозрачный прокси. Аппаратные средства, умеющие анализ на 7 уровне, стоят на порядок выше.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Без "звёздного" блэклиста ничего не получается. Fail Mode, насколько понятно, работает непосредственно с файлами.

Кстати, синтаксис *.yahoo.com/* не пропускает http://yahoo.com. Только с www. Это понятно, но неудобно. Где написано про разные варианты синтаксиса в фильтрах?

_________________
С уважением, Дмитрий

Почему это? Все прекрасно работает и блокируется, если просто *

Почему неудобно? Нормальная маска для правила. Если хотите одним правилом, то можно так:

*yahoo.com/*

Но учтите, что сайт my_yahoo.com, super-yahoo.com и тому подобное тоже попадет в список разрешенных. Если необходимо открывать Yahoo с www и без, необходимо кроме *.yahoo.com/* прописать в список разрешенных еще и yahoo.com/*
Кстати, для этого сайта необходимо еще разрешить картинки, а они вообще в другом домене (разрешение *.yimg.com/* )

А варианты синтаксиса прописаны в мануале на сайте. Но смысл простой - звездочка заменяет любой набор символов:

*.domain.tld/* любой поддомен домена domain.tld. И любая страница в этом любом поддомене.
domain.tld/* - любая страница на сайте domain.tld. А вот www.domain.tld и ftp.domain.tld не подпадают под правило.
domain.tld - только корневая страница. А вот domain.tld/index.html уже не подпадает под правило.
*domain.tld - любой домен в зоне .tld, чье имя заканчивается на domain. Т.е. mydomain.tld, wwwdomain.tld, ftpdomain.tld, superdomain.tld
domain.* - domain.com, domain.ru, domain.tld, но только корневая страница
domain.*/* - любая страница на сайте domain в любой зоне, т.е. domain.ru/index.html domain.com/ftp/my_page, domain.net/34/657/superpage.html
*.domain.*/* - любая страница домена domain и всех его поддоменов в любой зоне.

Думаю, этих примеров достаточно

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Dima G., спасибо, исчерпывающе.

Тут встал вопросом еще один момент. Заблокировал http по стандартной схеме для юзера. Создал ALG, присвоил его отдельному сервису на 80,443 и применил всё это в отдельном правиле. В АЛГ разрешил сайт. И оно туда НЕ пошло. Был крайне удивлён, всё перепроверил. Сайт "https://bmpro.seeline.ru". С копыт сбился, всё перелопатил - не пашет. В отчаянии добавил правило, которое в явном виде разрешало юзеру https и опаньки! Попёрло... Мистика... 443 же есть в заданном сервисе, почему не ходило? В угаре даже на первое место правило ставил - не помогало.

UPD: Вообще с установкой политик всяких разных столкнулся с рядом неочевидностей. Например, для компа с банк-клиентами создал два правила: Верхнее на запрет 80,443 с разрешением только веб банков, и второе на разрешение всех сервисов для программных. После введения ограничения по первому правилу все банки перестали работать. Почему - непонятно.

_________________
С уважением, Дмитрий

НТТР ALG пытается анализировать HTTPS, но т.к. обламывается, то и блочит. Если надо открывать HTTPS доступ, то делайте это по IP, ну и соответственно отдельным правилом выше HTTP ALG.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Как оно может обламываться? Указан порт, указано разрешение для сайта по маске.

_________________
С уважением, Дмитрий

HTTPS - создает шифрованный канал для всего промежуточного оборудования/хостов. Для DFL - он "черный ящик" между 2 IP адресами.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc